È lo stesso Skype ad annunciare ai proprio utenti nel suo stesso sito un problema di codice dovuto a un errore nella gestione del software Skype degli URIs, col rischio di consentire a utenti malintenzionati di eseguire codice arbitrario.
URI handler in Skype esegue controlli, si legge dal sito, sul’URL per verificare che il link non contenga determinati file relativi a formati di file eseguibili. Se il link si trova a contenere l’estensione di un file eseguibile presente nella “lista nera” un messaggio di allerta viene mostrato all’utente.
Questo controllo è difettoso in 2 modi:
- il controllo è eseguito facendo il confronto tra maiuscole e minuscole;
- il controllo della “lista nera” non riesce a ricordare tutti i potenziali formati dei file eseguibili;
Questo permette a un malintenzionato di bypassare questi controlli e di eseguire codice arbitrario se la potenziale vittima esegue un click nell’URL fornita dal malintenzionato.
Il problema, prosegue il sito, è stato risolto nella versione 3.8.0.139 suggerendo inoltre di scaricare l’ultima versione del software direttamente dal sito.